安全なソフトウェアの開発と配信に関するフォーティネットのセキュアバイデザインへの取り組み
提供: フォーティネットジャパン
本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「フォーティネットのセキュアバイデザインへの取り組み:サイバーセキュリティの目に見える進歩」を再編集したものです。
今年初め、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)はセキュアバイデザインの指針を発表しました。ここには、安全なソフトウェアの開発と配信に関する7つの目標が提示されています。この施策は、セキュアバイデザインとセキュアバイデフォルトの原則に基づいた、フォーティネットの長期的製品開発プロセスとも合致しており、当社はこの指針にいち早く署名し支持を表明したことを誇りに思います。
指針を発表するにあたり、CISAの上級テクニカルアドバイザーであるBob LordとJack Cableの両氏は説明動画を作成し、ソフトウェアの設計および開発の改良に向けて技術メーカーがデータドリブンのアプローチをとる必要性を訴えました。この動画では、CISAセキュアバイデザインの指針とその関連事業を、自動車および航空機業界で進行中の長期的な取り組みと比較しながら、いくつかの実例を紹介しています。
例えば、米国運輸省道路交通安全局は、約100年間にわたって米国での自動車による死亡事故のデータを収集してきました。この詳細なデータを集計、共有することで、規制当局は自動車の死亡事故件数が総走行時間に比例して増加することを認識し、データ分析に基づいて、確認された望ましくない結果を改善するための勧告を行うことができました。
1960年代後半、死亡事故の増加に対応するために国家交通・自動車安全法が施行されました。この法律は、バス以外の全車両にシートベルトの装着を義務づけ、未来あるアメリカ人の命を数えきれないほど救うことに貢献しました。その結果、自動車の利用増加にもかかわらず、死亡事故は急激に減少しました。
それ以外にも、衝撃吸収帯やアンチロックブレーキなど技術的安全装備の導入によって、死亡事故は明らかに減少しました。
サイバーセキュリティの進展を評価する:お客様によるフォーティネット発行パッチのインストール
当社のチームは早い段階から、CISAが紹介した実例に触発され、フォーティネットのセキュアバイデザインの取り組み強化における進捗状況を積極的に評価して報告し、倫理的で責任ある製品開発と脆弱性開示のロールモデルになるという当社の目標をさらに推進しています。私たちは、当社が発行したセキュリティパッチの適用率の向上に努めています。これは、CISAがセキュアバイデザインの指針で掲げた目標の一つとも合致しています。この取り組みは、進捗状況を評価し、当社が行った修正によってお客様それぞれのセキュリティ態勢が目に見える形で改善されたかどうかを判断する、またとない機会となりました。
まず、更新版をリリースした際に、一部のお客様がデバイスをアップグレードしなかった理由を突き止めることにしました。最も多かった理由は次の2つです。
・正常に機能しているネットワークが不安定化することへの不安
・時間とリソースの不足
これらの課題については以下のセクションで詳しく検証します。
お客様への聞き取り調査の後、私たちは両方の課題に対処するため、お客様が固有の問題を抱えていても、より簡単にパッチを適用できるようにしました。以下に、それぞれの課題に対処した際の手順と、当社の取り組みの成否を判断するために収集したデータを示します。
お客様の課題1:正常に機能しているネットワークが不安定化することへの不安
「壊れていないなら、直す必要はない」 — Thomas Bertram Lance
どのような理由であれ、機能しているネットワークを停止させるのが不便であることは理解できますが、攻撃者が脆弱性を悪用する可能性を減らすには、IT / セキュリティチームができる限り早急にパッチを適用することが極めて重要です。私たちはお客様に対し、リスクに基づいて即座に問題点を分析し、速やかにアップグレードを実施することを常にお勧めしています。その一方で、私はCISOとして、ネットワークを停止したくない気持ちも理解しています。IT / セキュリティ管理者は、セキュリティ対策の強化と通常業務への支障の間で、ぎりぎりの妥協点を絶えず探っているのです。
フォーティネットの課題解決方法
フォーティネットが発行したパッチをいつ、どのように適用するかについて、お客様がより簡単に意志決定ができるよう、ファームウェアリリースの機能と成熟度を示すマークを導入しました。これにより、ファームウェアにバグの修正プログラムのみが含まれているのか、あるいは広範な機能を搭載したリリースなのかを管理者が素早く確認できます。この追加情報を迅速かつ簡単に利用できれば、ネットワーク管理者は判断材料となるデータを入手し、自信を持ってアップグレードの方法や時期を決定できます。
お客様からはこれまでに、自社の環境にリリースを導入するかどうかを、ビジネスの重要度と特定の新機能の必要性を踏まえて、リスクベースで非常に簡単に判断できるようになったというご意見をいただいています。
お客様の課題2:時間とリソースの不足
「時間は最も乏しい資源であり、それが管理できなければ他の何事も管理することはできない」 — Peter Drucker
フォーティネットは、あらゆる規模と業種のさまざまなお客様と協力関係にあります。ほぼすべての組織に共通している点は、サイバーセキュリティの慢性的なスキル不足による影響を感じていることです。これは以下のグラフからも明らかです。このグラフは、リリース7.2.5に重要な修正プログラムが含まれているにもかかわらず、お客様のパッチ適用が比較的低調(1ヵ月のアップグレード数が約4万件)であることを示しています。
7.2.6のアップグレード率は7.2.5から倍増し、下のグラフでも勾配が急になっています。リリースの「新しさ」に対するお客様の関心が低下しているため、この現象は後続のリリースでよく見られ、先に挙げた課題とも似ている点があります。フォーティネットのサイバースキルギャップレポート2024度版では、組織の70%が、サイバーセキュリティのスキル不足によって自社のリスクが増大していると答えています。しかし、組織でリソースが実際に不足している、またはそれを認識している状況であっても、アップデートはもっと迅速に行う必要があります。
図1:フォーティネット顧客全体のFortiOSバージョン7.2.5から7.2.6へのアップグレード率
フォーティネットの課題解決方法
パッチの適用率を上げるために、携帯電話業界が使用しているデバイスの自動更新と同様の手法を採用することにしました。最初の試験段階では、以下の条件下で、ローエンドのスモールオフィス / ホームオフィスおよび中小企業向けデバイスが自動更新されるように設定しました。
・ローエンド(100F以下)のデバイスは、デフォルトで自動更新機能を有効にする。それ以外のデバイスでも、管理者が自動更新機能を有効にできる。
・デバイスはFortiManagerで一元管理されていない。
・アップグレードでは、同一ブランチ内のより安定的なすぐ次のリリースにのみ移行する。
・7.2.8(mature)は7.2.9(mature)にアップグレードされる。
・7.2.8(mature)から7.4.4(feature)にはアップグレードされない。
・お客様はいつでも自動更新機能をオフにできる。
FortiOSの自動更新機能は、リリースバージョン7.2.6から有効化されました。この機能はバージョン7.2.7で初めて起動され、下図に示すように、その結果はすぐに現れました。
図2:自動更新機能導入後のフォーティネット顧客全体のアップグレード率
バージョン7.2.7は、わずか数日間で約20万台のデバイスに実装され、このリリースでパッチが適用された脆弱性を脅威アクターが悪用する可能性は低減されました。
自動更新機能は、今後リリースされる別のモデルにも搭載されます。
セキュリティ態勢の強化方法を簡素化
今回紹介した取り組みでは、今後も継続的にお客様のセキュリティを強化し、脅威アクターによる既知の脆弱性の悪用を防止していきます。CISAセキュアバイデザインの指針に示された7つの目標に対する進捗状況を評価することで、我々の活動とその成果を的確に把握すると共に、お客様のためにセキュリティをより一層簡素化する方法を見出すことができます。
これは、フォーティネットが掲げたコミットメントを実現するための新たな一歩であり、これからもその進展を皆さまにお伝えしていきます。